Technische und Organisatorische Maßnahmen 


(TOM) 
i.S.d. Art. 32 DSGVO Abs.1 S.2 lit. g 


der Organisation: 


Statista GmbH 
Johannes-Brahms-Platz 1 
20355 Hamburg 


Stand: März 2022 


Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, 
verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen 
zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der 
Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr 
Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck 
steht. 


Die og. Organisation erfüllt diesen Anspruch durch folgende Maßnahmen: 


Vertraulichkeit gem. Art. 32 Abs. 1 lit. DSGVO 


Zutrittskontrolle 


Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu 
Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder 
genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur 
Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, 
Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste 
und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, 
Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu 
schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch 
organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der 
Diensträume bei Abwesenheit vorsieht) zu stützen. 
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Technische Maßnahmen 


Organisatorische Maßnahmen 


Alarmanlage X  |Schlüsselregelung / Liste 
X | Automatisches Zugangskontrollsystem X | Empfang / Rezeption / Pförtner 
Biometrische Zugangssperren Besucherbuch / Protokoll der Besucher 
X | Chipkarten / Transpondersysteme X | Mitarbeiter- / Besucherausweise 
x | Manuelles Schließsystem Besucher in Begleitung durch 
Mitarbeiter 
x  |Sicherheitsschlösser (Serverräume) Sorgfalt bei Auswahl des 
Wachpersonals 
Schließsystem mit Codesperre X | Sorgfalt bei Auswahl Reinigungsdienste 
X | Absicherung der Gebäudeschächte 
X | Türen mit Knauf Außenseite 
Klingelanlage mit Kamera (derzeit 
deaktiviert) 
Videoüberwachung der Eingänge 
Zugangskontrolle 


Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme 
(Computer) von Unbefugten genutzt werden können. 
Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen 
gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit 
Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner 
mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von 
CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen 
notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. 
Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für 
die Anwender zur Wahl eines „guten“ Passworts). 


Technische Maßnahmen 


Organisatorische Maßnahmen 


X Login mit Benutzername + X | Verwalten von Benutzerberechtigungen 
Passwort 
Login mit biometrischen Daten | X | Erstellen von Benutzerprofilen 

X Anti-Viren-Software Server X | Zentrale Passwortvergabe 

X Anti-Virus-Software Clients X | Richtlinie „Sicheres Passwort“ 
Anti-Virus-Software mobile X | Richtlinie „Löschen / Vernichten“ 
Geräte 

X Firewall X | Richtlinie „Clean desk“ (nicht i.a. Bereichen) 


Seite 2 von 11 


X Intrusion Detection Systeme X Allg. Richtlinie Datenschutz und / oder Sich- 


erheit 
Mobile Device Management Mobile Device Policy 
X Einsatz VPN bei Remote- X | Anleitung „Manuelle Desktopsperre“ 
Zugriffen 
X Verschlüsselung von 
Datenträgern 
X Verschlüsselung Smartphones 


Gehäuseverriegelung 


X BIOS Schutz (separates 
Passwort) 


Sperre externer Schnittstellen 


(USB) 
X Automatische Desktopsperre 
X Verschlüsselung von 


Notebooks / Tablet 


Weitere Maßnahmen: 


Zugriffskontrolle 


Maßnahmen, die gewährleisten, dass die zur Benutzung eines 
Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer 
Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass 
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung 
nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die 
Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete 
Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten 
ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten 
vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin 
sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die 
Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem 
aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, 
Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch 
auf die Rolle und Möglichkeiten der Administratoren zu richten. 
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Technische Maßnahmen 


Organisatorische Maßnahmen 


Aktenschredder (mind. Stufe 3, cross X Einsatz Berechtigungskonzepte 
cut) 
X |Externer Aktenvernichter (DIN 32757) X Minimale Anzahl an Administratoren 
X | Physische Löschung von Datenträgern X Datenschutztresor (wird kurzfristig 
umgesetzt) 
X \Protokollierung (abhängig vom System) X Verwaltung Benutzerrechte durch 


Administratoren 


Weitere Maßnahmen: 


Trennungskontrolle 


Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten 
getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und 
physikalische Trennung der Daten gewährleistet werden. 


Technische Maßnahmen 


Organisatorische Maßnahmen 


X Trennung von Produktiv- und Test- Steuerung über Berechtigungskonzept 
umgebung 

X Physikalische Trennung (Systeme / Festlegung von Datenbankrechten 
Datenbanken / Datenträger) 

X Mandantenfähigkeit relevanter Datensätze sind mit Zweckattributen ver- 


Anwendungen 


sehen 


Weitere Maßnahmen: 


Pseudonymisierung (Art. 32 Abs. 1 lit. aDSGVO; Art. 25 


Abs. 1 DSGVO) 


Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne 
Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen 
Person zugeordnet werden können, sofern diese zusätzlichen Informationen 
gesondert aufbewahrt werden und entsprechende technischen und organisatorischen 


Maßnahmen unterliegen; 
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Technische Maßnahmen Organisatorische Maßnahmen 
Im Falle der Pseudonymisierung: X | Interne Anweisung, personenbezogene 
Trennung der Zuordnungsdaten und Auf- Daten im Falle einer Weitergabe oder auch 
bewahrung in getrenntem und abge- nach Ablauf der gesetzlichen Löschfrist 
sicherten System (mögl. verschlüsselt) möglichst zu anonymisieren / pseudonymi- 
sieren 


Weitere Maßnahmen: 


Integrität (Art. 32 Abs. 1 lit. b DSGVO) 


Weitergabekontrolle 


Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der 
elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung 
auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden 
können, und dass überprüft und festgestellt werden kann, an welche Stellen eine 
Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung 
vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen 
Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private 
Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. 
Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für 
eine datenschutzgerechte Vernichtung von Datenträgern. 


Technische Maßnahmen Organisatorische Maßnahmen 


Dokumentation der Datenempfänger sowie der 
E-Mail-Verschlüsselung Dauer der geplanten Überlassung bzw. der 
Löschfristen 


X | Einsatz von VPN x Übersicht regelmäßiger Abruf- und 
Übermittlungsvorgängen 


Weit bei isierter od 
Protokollierung der Zugriffe und Abrufe nn wa ame 
pseudonymisierter Form 


x Sorgfalt bei Auswahl von Transport Personal 
und Fahrzeugen 
Bereitstellung über verschlüsselte u Baus .. 5 


x Sichere Transportbehälter (über 


Fa.Reisswolf) 


Persönliche Übergabe mit Protokoll 


Verbindungen wie sftp, https 


En Nutzung von Signaturverfahren 
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Weitere Maßnahmen: 


Eingabekontrolle 


Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden 
kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme 
eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch 
Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, 
Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin 
zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch 
wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine 
Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet. 


Technische Maßnahmen Organisatorische Maßnahmen 


Technische .. . : 
. Ubersicht, mit welchen Programmen 
Protokollierung der f 
welche Daten eingegeben oder 


Eingabe, Änderung und R . 
i gelöscht werden können 
Löschung von Daten 


Nachvollziehbarkeit von Eingabe, 
Änderung und Löschung von Daten 
durch individuelle Benutzernamen 
(nicht Benutzergruppen) 


Vergabe von Rechten zur Eingabe, 
x Änderung und Löschung von Daten 
auf Basis eines 
Berechtigungskonzepts 
n 


Weitere Maßnahmen: 


Manuelle oder 
automatisierte Kontrolle 
der Protokolle 


Klare Zuständigkeiten für Löschungen 


(abhängig vom System) 
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Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b 
DSGVO) 


Verfügbarkeitskontrolle 


Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige 
Zerstörung oder 

Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie 
Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere 
Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen 
etc. 


Technische Maßnahmen Organisatorische Maßnahmen 


Regelmäßige Tests zur 
Datenwiederherstellung und 
Protokollierung der Ergebnisse 


Serverraumüberwachung 
Temperatur und Feuchtigkeit 


Aufbewahrung der Sicherungsmedien an 
einem sicheren Ort außerhalb des 
Serverraums 


x Keine sanitären Anschlüsse im oder 
oberhalb des Serverraums 
Existenz eines Notfallplans (z.B. BSI IT- 
Grundschutz 100-4 


Getrennte Partitionen für Betriebssysteme 
und Dateien 


Datenschutztresor (S60DIS, 
S120DIS, andere geeignete 
Normen mit Quelldichtung etc. 


Weitere Maßnahmen: 
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Verfahren zur regelmäßigen Überprüfung, Bewertung und 
Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 


DSGVO) 


Datenschutz-Management 


Technische Maßnahmen 


Software-Lösungen für 
Datenschutzmanagement im 
Einsatz 


Zentrale Dokumentation aller 
Verfahrensweisen und 
Regelungen zum Datenschutz 
mit Zugriffsmöglichkeit für 
Mitarbeiter nach Bedarf / 
Berechtigung (z.B. Wiki, 
Intranet ...) 


Sicherheitszertifizierung nach 
ISO 27001, BSI IT- 
Grundschutz oder ISIS12 


Anderweitiges 
dokumenitiertes Sicherheits- 
konzept 

Eine Überprüfung der 
Wirksamkeit der 
Technischen 
Schutzmaßnahmen wird 
mind. jährlich durchgeführt 


Weitere Maßnahmen: 


Organisatorische Maßnahmen 


Interner Datenschutzbeauftragter 
Name / Firma / Kontaktdaten 


Mitarbeiter geschult und auf 
Vertraulichkeit/ Datengeheimnis 
verpflichtet 


Regelmäßige Sensibilisierung der 
Mitarbeiter mindestens jährlich 


Interner / externer 
Informationssicherheitsbeauftragter / 
Name / Firma / Kontakt 

Die Datenschutz-Folgenabschätzung 
(DSFA) wird bei Bedarf durchgeführt 


Die Organisation kommt den 
Informationspflichten nach Art. 13 und 
14 DSGVO nach 


Ein formalisierter Prozess zur 
Bearbeitung von Auskunftsanfragen 
seitens Betroffener ist vorhanden 
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Incident-Response-Management 


Unterstützung bei der Reaktion auf Sicherheitsverletzungen 


Technische Maßnahmen Organisatorische Maßnahmen 


Dokumentierter Prozess zur Erkennung und 
Meldung von Sicherheitsvorfällen / 
Datenpannen (auch im Hinblick auf Meldepflicht 
gegenüber Aufsichtsbehörde) 


Einsatz von Firewall und 
regelmäßigen Aktualisierungen 


Einsatz von Spamfilter und 
regelmäßige Aktualisierungen 


B 
Einbindung von 
y | Einsatz von Virenscanner und 5 Sicherheitsvorfällen 
regelmäßige Aktualisierung und Datenpannen 


Dokumentierte Vorgehensweise zum Umgang 
mit Sicherheitsvorfällen 


Dokumentation von Sicherheitsvorfällen und 


ORON ENERO SP AD Datenpannen z.B. via Ticketsystem 


Formaler Prozess von Verantwortlichkeiten zur 
Nachbearbeitung von Sicherheitsvorfällen und 
Datenpannen 


Intrusion Prevention System (IPS) 


Weitere Maßnahmen: 


Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO); 


Privacy by design / Privacy by default 


Technische Maßnahmen Organisatorische Maßnahmen 


Es werden nicht mehr 
personenbezogene Daten 
erhoben, als für den jeweiligen 
Zweck erforderlich sind 


Double Opt-In Verfahren 


Einfache Ausübung des 
Widerrufrechts des Betroffenen via 
tech. Maßnahmen 


Weitere Maßnahmen: 
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Auftragskontrolle (Outsourcing an Dritte) 


Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag 
verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet 
werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag 
auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort 
als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer 
Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln. 


Technische Maßnahmen Organisatorische Maßnahmen 


Vorherige Prüfung der vom 
Auftragnehmer getroffenen 
Sicherheitsmaßnahmen und deren 
Dokumentation 


Auswahl des Auftragnehmers unter 
Sorgfaltsgesichtspunkten (gerade in Bezug 
auf Datenschutz- und Datensicherheit 


Abschluss der notwendigen Vereinbarung 
zur Auftragsverarbeitung bzw. EU 
Standard-Vertragsklauseln 


Schriftliche Weisungen an den 

x 
Auftragnehmer 

x Verpflichtung der Mitarbeiter des 
Auftragnehmers auf Datengeheimnis 


Verpflichtung zur Bestellung eines 
Datenschutzbeauftragten durch den 
Auftragnehmer bei Vorliegen Bestellpflicht 


Vereinbarung wirksamer Kontrollrechte 
gegenüber dem Auftragnehmer 
Regelung zum Einsatz weiterer 
Subunternehmer 

x Sicherstellung der Vernichtung von Daten 
nach Beendigung des Auftrags 
Bei längerer Zusammenarbeit: Laufende 


Überprüfung des Auftragnehmers und 
seines Schutzniveaus 


Weitere Maßnahmen: 


Ausgefüllt für die Organisation durch 
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Name: Christian Wolf 
Funktion: Datenschutzbeauftragter 


Rufnummer: +49 40 284 841 679 
E-Mail: Christian.Wolf@Statista.com 


Hamburg, 22.04.2021 


Vom Auftraggeber auszufüllen: 
Geprüftam durch . Ergebnis(se): 


L] Es besteht noch Klärungsbedarf zu 
L] TOM sind für den angestrebten Schutzzweck ausreichend 


L Vereinbarung Auftragsverarbeitung kann geschlossen werden 


Hinweis: Diese Vorlage verwendet durchaus noch Begrifflichkeiten des BDSG a.F. Inhaltlich 
unterscheiden sich die technischen und organisatorischen Maßnahmen nicht von denen, die in der 
DSGVO gefordert werden! 
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